Podatność typu Remote Code Execution (RCE) w pgAdmin 4 w wersjach do 9.10 umożliwia atakującemu wykonanie dowolnych poleceń na serwerze. Problem dotyczy wyłącznie trybu serwerowego i jest wyzwalany podczas przywracania bazy danych z plików dump w formacie PLAIN.
▸ Pokaż oryginał (EN)
pgAdmin versions up to 9.10 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.
Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-94 — code injection) podczas operacji przywracania z pliku dump w formacie PLAIN. Atakujący posiadający dostęp do funkcji przywracania może spreparować złośliwy plik dump zawierający wstrzykniętą sekwencję poleceń. Podczas przetwarzania takiego pliku przez pgAdmin działający w trybie serwerowym, wstrzyknięte polecenia są wykonywane bezpośrednio na serwerze hostującym aplikację.
Atakujący może wykonać dowolne polecenia systemowe na serwerze, na którym działa pgAdmin, co stanowi krytyczne zagrożenie dla integralności serwera, systemu zarządzania bazą danych oraz przechowywanych danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek zastępczy należy rozważyć ograniczenie dostępu do funkcji przywracania bazy danych wyłącznie do zaufanych użytkowników oraz unikanie importu plików dump pochodzących z niezaufanych źródeł.
pgAdmin 4 w wersjach do 9.10 włącznie, działający w trybie serwerowym (server mode)
Podatność dotyczy wyłącznie pgAdmin działającego w trybie serwerowym (server mode). Instalacje działające w trybie desktopowym (desktop mode) nie są podatne.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:LPgadmin 4
APPPgadmin≤ 9.10
Powiązane podatności
Two state-mutating endpoints in pgAdmin 4's SQL Editor blueprint -- DELETE /sqleditor/close/<trans_id> and POS...
Stored cross-site scripting in pgAdmin 4's error-rendering and plan-node-rendering paths. Text returned by a P...
Read-only transaction bypass in the pgAdmin 4 AI Assistant allows an attacker who can influence database conte...
pgAdmin 4: nieautoryzowany dostęp i privilege escalation w trybie serwerowym
RCE w pgAdmin 4 — wstrzykiwanie komend podczas przywracania bazy